2023跨境數據流通合規(guī)與技術應用白皮書-開放群島開源社區(qū)跨境數據流通小組

2023跨境數據流通合規(guī)與技術應用白皮書TheWheaperonCs-boderDaaeromplianeandechnologyAppliios開放群島開源社區(qū)跨境數據流通小組2023年12月跨境數據流通合規(guī)與技術應用白皮書（2023）開放群島開源社區(qū)跨境數據流通小組2023年12月版權聲明據違反上述聲明者，編者將追究其相關法律責任。前言隨202212作用的意見》提出，堅持開放發(fā)展，推動數據跨境雙向有序流動。20239（征求意見稿20臺“數據相關條例”，推進數據跨境流動工作。2022能力推進合法合規(guī)可落地技術解決方案。去年組織三十余家境內外機構編寫了30W202340境數據流通合規(guī)與技術應用白皮書》（以下簡稱《白皮書（2023）》）。勢，具有以下特點：國際條約也加以介紹，為探索跨國合作提供新的視角。公共健康出發(fā)，關注跨境就醫(yī)結算服務和醫(yī)療臨床研究項目的數據合規(guī)出境規(guī)范。進數據跨境流動安全規(guī)則研究、制定和落地的先行先試。讓我們繼續(xù)為推動數據跨境安全有序流動貢獻力量！編制說明本報告在撰寫過程中得到了開放群島開源社區(qū)跨境數據流通小編寫單位（）：中國（深圳深圳（杭州深圳（深圳深圳（上海（數據要素社）編寫組主要成員（）：陳曦李如先王冠丁振贛周宏張巍宮仁海李蘭蘭劉媛陳 寧王 藝郭巧真王以瑋史亦言于丹麗張雅婷王 鑫羅 欣勞國威易海博譚瑞琥柴 穎戴志敏吳朝陽周 閱楊淋雨尤 磊張 昊楊子安王雪純何思婷周 鋼李東陽陳 璐王雨薇李清蓮宋 杰李 丹袁 蕓夏 彥廖瞰曦趙鵬飛陳 慧曾 錚陳嘉琪袁 玥成雨楊杜 瑜莫斯航王巖飛樊思琪李智慧王孝冉謝賢保李昌旺舒青云王 瓊彭曉燕孫 紅李和清侯子博劉 沛郭 婷程晶晶彭文琪魏 倩黃念念王 瀾吳 一吳 昊馬 蘭阮 舟王志輝王超博陳建宏張長彬吳治中羅 瑤鄧祥靜胡 浩魏安迪崔如德李 坤賀志生王永霞代 威丁紅發(fā)楊 楠梁 娜黃 偉周謝軍蔡小芳唐 鑫蔡 歡馬紀園肖苗苗劉嶺峰蔡劍戈王青蘭熊婷朱小軍李文塔劉前偉陸忠明蒙雄發(fā)萬 瑞周 旦朱 琳陳俊昌目錄第一章背景介紹 1我國跨境數據流通的發(fā)展現狀 1港澳大灣區(qū)跨境數據流通的發(fā)展現狀 4全球跨境數據流通的發(fā)展趨勢 4我國跨境數據流通發(fā)展面臨的挑戰(zhàn) 5第二章國際條約中的數據跨境規(guī)則 8總覽 8具體條約中的數據跨境規(guī)則 9基于世界貿易組織（WTO）框架下的重要多邊條約 9《區(qū)域全面經濟伙伴關系協(xié)定》（RCEP） 12《全面與進步跨太平洋伙伴關系協(xié)定》（CPTPP） 14《數字經濟伙伴關系協(xié)定》15對中國數據跨境管理的啟示 16第三章數據跨境域外法律環(huán)境分析 18中國香港 18推動數字經濟發(fā)展，打造亞太地區(qū)數據中心設立首選地 18香港數據保護及數據跨境的要點簡析 19香港與中國大陸個人信息保護法規(guī)之對比情況 21中國澳門 22完整的個人資料保護規(guī)范，但不完善的跨境規(guī)則 22澳門數據保護及數據跨境的要點解析 22注意敏感個人信息保護，避免行政處罰 23中國臺灣 24臺灣地區(qū)個人資料保護及跨境流通監(jiān)管的法律環(huán)境 24我國臺灣地區(qū)數據保護及數據跨境的要點簡析 25我國臺灣地個人資料保護法與大《個人信息保護法的銜接與差異 273.4東盟 273.41.出臺系列指導性政策文件，統(tǒng)籌數字經濟發(fā)展與數據保護28《東盟個人數據保護框架促各成員國國內數據保護政策致化 東盟數據管理框架《東盟跨境數據流動示范合同條款為企業(yè)提供數據管理和跨境數據流通的指引 29新加坡 29尋求加強監(jiān)管與數據開放流動直接平衡的監(jiān)管體系 29新加坡數據保護監(jiān)管框架概覽及數據跨境的要點解析 30新加坡與中國個人信息保護之比較 333.6.越南 33越南數據保護法律體系概況 33越南數據保護和數據跨境的要點簡析 33越南與中國數據保護法律之對比 34沙特阿拉伯 35沙特阿拉伯數據保護法律框架概述 35沙特《個人數據保護法》要點簡析 35沙特數據保護與中國的對比 373.8.日本 37日本數據跨境流通戰(zhàn)略舉措 37日本數據跨境流通法律規(guī)制要點簡析 39與我國數據跨境法律法規(guī)對比分析 413.9.印度 42經歷多次曲折，終接近出臺數據保護專門立法 42印度數據保護及數據跨境的要點解析 42與中國法律的對比 45俄羅斯 46俄羅斯聯(lián)邦個人信息及數據法律環(huán)境分析 46俄羅斯聯(lián)邦數據跨境保護及審查要點分析 47中俄數據保護及數據跨境合規(guī)對比 493.11.歐盟 49棱鏡事件推動的數據跨境流動立法密集時代 49歐盟數據保護及數據跨境的要點簡析 50中國對GDPR的借鑒與發(fā)展 513.12.美國 53美國個人信息及數據法律環(huán)境分析 53美國數據保護及數據跨境的要點解析 54美國與中國數據保護法律之對比 563.13.尊重區(qū)域差異，做好數據跨境合規(guī) 57第四章跨境數據流通技術解決與合規(guī)方案 58跨境消費：某知名大型港資消費品企業(yè)數據跨境方案 58案例背景 58技術方案 59方案創(chuàng)新點和亮點 59應用效果 60跨境金融：香港銀行跨境電子簽署 60案例背景 60技術方案 60方案創(chuàng)新點和亮點 61應用效果 61跨境芯片研發(fā)：M2&SKC芯片數據跨境安全計算 62案例背景 62技術方案 63方案創(chuàng)新亮點 64應用成效 64跨境數據：中國首單場內跨境數據交易 65案例背景 65整體方案 65數據產品創(chuàng)新點和亮點 68應用成效 68數字貿易：基于數字貿易資產的融資解決方案 69案例背景 69技術方案 69方案創(chuàng)新點和亮點 71應用成效 72跨境金融：港股開戶跨境可靠電子簽署 72案例背景 72技術方案 72方案創(chuàng)新點和亮點 73應用效果 73衛(wèi)生健康：跨境就醫(yī)結算服務平臺 74案例背景 74技術方案 74方案創(chuàng)新點和亮點 77應用效果 77跨境征信：海外用戶信用風險評估報告 78案例背景 78技術方案 78方案創(chuàng)新點和亮點 80應用效果 80健康醫(yī)療：臨床試驗數據跨境合規(guī) 81案例背景 81合規(guī)方案 82方案創(chuàng)新點和亮點 83應用效果 84跨境貿易：基于區(qū)塊鏈的兩岸跨境貿易商品溯源系統(tǒng) 84案例背景 84技術方案 85方案創(chuàng)新點和亮點 88應用效果 88跨境電商：跨境數據推動電商企業(yè)ESG供應鏈改進 88案例背景 89技術方案 90方案創(chuàng)新點和亮點 91應用效果 91數據合規(guī)：企業(yè)數據出境風險評估 92案例背景 92合規(guī)評估 92方案創(chuàng)新點和亮點 94結語建議 94第五章數據跨境流通與技術應用發(fā)展建議 95數據跨境安全管理底線堅持與便利化探索 95企業(yè)全面建成數據跨境合規(guī)體系 96企業(yè)數據安全與隱私保護 96企業(yè)供應鏈風險控制與管理 97企業(yè)跨境數據流通合規(guī)能力建設 98推動跨境數據流通合規(guī)技術產業(yè)發(fā)展 99重視合規(guī)人才培養(yǎng)與產業(yè)共生 101深化開放合作實現跨境合規(guī)應用多樣化 102參考文獻 104附錄A:數據跨境流通域外法律解析 1071.香港 1072.澳門 3.臺灣 4.新加坡 1315.越南 1406.日本 1497.印度 1508.歐盟 1609.美國 176附錄B：編寫單位簡介 193圖列表圖1 跨境流程示意圖 59圖2 跨境電子簽署服務平臺總體架構圖 61圖3 跨境電子簽署服務平臺網絡傳輸路徑圖 62圖4 整體架構圖 63圖5 UCloud安全屋業(yè)務流程圖 64圖6 數庫新聞分析數據產品架構圖 66圖7 跨境數據交易流程圖 67圖8 傳統(tǒng)供應鏈中的應用流程圖 70圖9 多級供應鏈中在發(fā)行、轉讓、融資和兌現場景中的應用 71圖10 深圳CA港股開戶電子認證服務平臺總體架構圖 73圖跨境就醫(yī)結算服務平臺框架結構圖 76圖12 平臺業(yè)務流程圖 76圖13 跨境就醫(yī)結算服務平臺技術架構圖 77圖14 用戶信用風險評估報告處理系統(tǒng)作業(yè)流程示意圖 79圖15 征信報告模板示意圖 80圖16 數據出境安全評估流程 82圖17 自評估流程圖 83圖18 兩岸跨境貿易商品溯源應用技術架構圖 86圖19 兩岸跨境貿易商農品溯源應用數據上鏈流程 86圖20 兩岸跨境貿易商品溯源應用數據采集示例 87圖21 兩岸跨境貿易商品溯源應用案例 87圖22 方案功能展示圖 89圖23 企業(yè)跨境數據安全技術體系架構圖 96第一章背景介紹流通已愈發(fā)成為全球經濟增長中的關鍵引擎。一是跨境數據推動數字經濟全球二是跨境數據保障數字貿易一體化。隨著數字貿易規(guī)模不斷擴大,跨境數據流通將成三是跨境通過收集和分析數據跨境流通管理規(guī)范體系愈發(fā)完善護法》等法律的發(fā)布，我國建立了以數據保護與跨境數據流通為框架的制度體積極探索跨境數據流通規(guī)則體系多樣性的建設。20229月國家互聯(lián)網信息辦12（以下簡稱“數據二十條61日施行的《個人信息出境標準合同辦法》及《個人信息出境7月國務院印發(fā)《關于進一步優(yōu)化外商投資環(huán)境加大吸引外商投資力度的意見》，進一步提出和倡議了“為符合條件的外商投資企業(yè)高效開展重要數據和個人信息出境安全評估，提供綠色通道”；2023928日國家互征求意見稿我國跨境數據流通行業(yè)應用愈發(fā)豐富要掌握較敏感的數據。發(fā)、制造、銷售、財務、運行等相關數據跨境流動的需求。在醫(yī)療行業(yè)，提出新藥“供應鏈可視化和跨境數據流通整合”通過數字技術延伸出來的數字人、元宇宙、NFT等相關數字服務和需求也相繼跨境數據流通技術解決方案日趨成熟促進數據依法有序自由流動。主要從以下幾個方面：在數據資產梳理方面，數據分類分級技術將助力實現核心數據、重要數據、一般數據的高效識別以及與相應數據類別、數據安全等級的智能關聯(lián)，從而大幅提升識別效率和安全性。在數據分析處理在數據流動管理跨境流動安全監(jiān)管審計工作提供有力的技術保障。數據跨境措施持續(xù)促進外商投資和服務貿易發(fā)展20208月，商務部在《全面深化服務貿易創(chuàng)新發(fā)展試點總體方案》中提282022120237月，國務院公布《關于進一步優(yōu)化外商重要經濟帶。在金融領域在醫(yī)療領域（在政務領域IPV6、隱私增強、區(qū)塊鏈等技術確保數據流動的可追溯和可管控，實在教育領域當前仍面臨數據跨境難以同時實現數據安全、隱私保護和自由流動三大目標的“三元悖論”，數字基礎設施互聯(lián)互通仍存在一定障礙。伴隨著產業(yè)全球協(xié)同化發(fā)展和數字經濟的全面到來，在全球范圍內進行的跨一是數體趨向嚴格和出現相關處罰案例，但相關的跨境數據流通的政策已愈發(fā)清晰具60個國家和地區(qū)出臺了數據主權相關法律或戰(zhàn)略；特別是美三是數據跨境安全面臨新技術沖ChatGPT的過程中若使用不四是數據本地化趨勢上題和挑戰(zhàn)?？缇硵祿魍▽嵤藴屎吐涞卮胧┎蛔阍囆校ㄔ囆校ㄕ髑笠庖姼澹ㄕ髑笠庖姼?數據出境"境外主體數據安全保障能力評估受限跨境數據流通安全評估成本高和耗時長以評估數據跨境風險和控制措施的有效性的情況下，評估周期有可能進一步拉長。境外直接面向境內收集數據主體的申報難內自然人的行為處理者主體，面向境內收集數據也成為實務中難點。大模型訓練數據來源廣泛導致監(jiān)管難度加大API接口形式接入境外大模型，還可能會伴隨數（必要場景下國內外大模型都采用第二章國際條約中的數據跨境規(guī)則總覽數據的跨境自由流動是當今世界經濟發(fā)展必備的常態(tài)，應當在保障國家安要分析涉及中國出境業(yè)務或對中國國內立法具有重要影響或參與國際規(guī)則談判發(fā)揮范例效應的主要國際條約。缺有效強制但頑強推進的多邊條約（OECD）1980年確立的首部關于全球數據跨境流動執(zhí)法原則立法2013OECD隱私2019年簽署的1995年生效19972019效的《關于電子商務的聯(lián)合聲明》，中國均已加入。吁成立世界數據組織（WDO）并締結管轄數據跨境并具備強制約束力的條約，重區(qū)域適用但蓬勃發(fā)展的諸邊條約200520072011年開發(fā)的“跨境隱私規(guī)則體系20182020年新加（CPTPP簽署方2020年，美國、墨西哥、加拿APEC跨境隱私規(guī)則體系”的有效性，而且要求確保數據跨境自由傳輸、最大限度減少數據存儲與處理地點的限制以促進全球化的數字生態(tài)系統(tǒng)。高標準雄心但數量有限的雙邊條約2022制，我們挑選部分條約進行分析，供參考。基于世界貿易組織（WTO）框架下的重要多邊條約在全球發(fā)展數字經濟的背景下，世界貿易組織TradeOrganization，WTO）164個經濟體成員，主要通過減免字服務貿易的統(tǒng)一化、便利化、自由化。WTO框架目前主要針對基于貿易關切的數據跨境進行專項規(guī)制，WTO（境內法律政策對貿易本（GeneralAgreementonTradein議》（InformationTechnologyAgreement、《關于電子商務的聯(lián)合聲明》（JointStatementonElectronicCommerceJSEC）。《服務貿易總協(xié)定》是關貿總協(xié)定烏拉圭回合談判達成的第一套規(guī)范國際跨境服務貿易的具有法律效力19951140條件下擴大服務貿易。規(guī)定國際服務貿易具體分為四種方式：跨境交付（cross-border（consumption（commercialpresence）、自然人流動（movementofnaturalpersons），其核心是市場準入及具體承諾表（schedulesofspecificcommitments）中與數據流動有關的內（computerandrelatedprocessingservices）。如前所述，目前上沒有一部專門管轄數據跨境的國際條約，WTO于數據跨境傳輸的規(guī)制散件于各協(xié)定、備忘錄、宣言中。WTO境WTO14條的“隱私例外”和“安全例外”14條之二的“基本安全例外”，具體為：“隱私例外”系指第14條第1款的“為保護公共道德或維護公共秩序所必須的措施”143款“為遵守法律或法規(guī)所必需的措施”2項的“保護與個人信息（personaldata）處理與傳播有關的個人隱私及保護個人記錄和賬戶的機密性”?！鞍踩狻毕抵傅?4條第3款第3項的“安全（safety）”?！盎景踩狻?411項的不得供其認為如披露則違背其基本安全利益（essentialsecurityinterests）的任何信息（anyinformation）”。CPTTP、、RECP等諸邊中限制跨境服務貿易的上述例外?！缎畔⒓夹g產品協(xié)議》199612913199741WTO框架下“次多邊貿易協(xié)定”的成果在最惠國待遇原則的基礎締約方的市場準入承諾中受益。2015年完成了擴圍談判，達成了《關于擴大信息技術產品貿易的部201適應了技術發(fā)展的現實，擴大了作為數字貿易基礎的為與信息技術相關的硬件貿易提《關于電子商務的聯(lián)合聲明》（JSEC）2019年1月25日，在瑞士達沃斯舉行的WTO電子商務非正式部長級會議上，中國、澳大利亞、日本、新加坡、美國、歐盟、俄羅斯、巴西、尼日利亞、緬甸等共計76個世貿成員簽署JCEC。從多邊拓展層面分析，JCECWTO90716項議題；從雙邊區(qū)域層面分析，至2023130個數字協(xié)定，其中多為雙邊、區(qū)域自貿協(xié)定以及數字經濟專門協(xié)定。從歷史演進層面分析，JCEC最早可以追溯至WTO于1998年成立的“電子商務工作計劃”，強調將充分認識并考慮世貿組織從發(fā)展理念層面分析，WTO但近期出現重大的事件卻將改變ICEC后續(xù)談判的走向，20231025WTO凱瑟琳-WTO查其在數據和源代碼等敏感領域的貿易規(guī)則現行舉措 事態(tài)最終走向值得進一步關注。WTO涉及數據跨境規(guī)則與中國立法的聯(lián)系（征詢意見稿的“基本安全例外”的“隱私例外”和“安全例外”“基本安全例外這兩種限制措施都著眼于保障國家安全和重大公共利益，屬于“基本安全”范疇。另一方面，WTO例外條款的適用旨在協(xié)調多邊貿易自由化與國內公共政策例外條款似乎也難以支持成員方限制跨境GDPR例外條款的適用條件。我國也應秉持審慎的原則。“為遵守國內法律法規(guī)所必需的措施稱為“必要性測試“實施措施不得構成任意或不合理的手段或者構成變相限制的前提下稱為“非歧視性測試暫不確定主要國家和地區(qū)限制數據跨境流動的規(guī)則能夠通過第14條的“必要性測試”和“非歧視性測試”6.4條規(guī)定服務貿易理事會應制定國內管制紀律，以“保證有關資格要求和程序、技術標準和許可要求的各項措施不致構成不必要的服務貿易壁壘”。這些多邊規(guī)定和紀律要求在我國深入開展數據安全和隱私保護立法及其落地實踐中必須得遵守?！秴^(qū)域全面經濟伙伴關系協(xié)定》（RCEP）《區(qū)域全面經濟伙伴關系協(xié)定》（RegionalComprehensiveEconomicPartnership，RCEP）2012年發(fā)起，東盟十國和中國、日本、韓國、澳1520201515RCEP202211日，RCEP15個簽約國中生效，中國是首批生效的國家之一。RCEP的簽署對我國擴大提升區(qū)域經濟一體化水平有重要意義。RCEP由序言、20456主要集中在第十二章“電子商務”RCEP“實現合法的公共政策目標”及“保護基本安全利益”取必要措施。RCEP關于數據跨境的具體規(guī)定如下：個人信息保護的要求對于個人信息保護，RCEP政策和程序。推動各締約國間數據跨境自由流通用”的目標，RCEP領域的數據自由跨境流通。以“合法的公共政策目標”及“基本安全利益”為例外的流通限制規(guī)定RCEP以促進數據跨境自由流通為原則，但也為各締約國作出了例外規(guī)定，構建一套“原則+例外”RCEP序言中即已表明“每一締約方為實現合法的公共福利目標而進行監(jiān)管的權利”，在第十二章第十四條第三一（一RCEP項下承諾或義務手段的前提措施。該例外主要規(guī)定于第二章第十四條第三款第（二）項，第十五條第三款第（三“任意的或不合理歧視或變相限制服務終端用戶的個人信息。靈活的爭端解決方案RCEPRCEP就電子商務分歧，可以在同意適用的締約國間適用爭端解決機制。《全面與進步跨太平洋伙伴關系協(xié)定》（CPTPP）全面與進步跨太平洋伙伴關系協(xié)定（ComprehensiveandProgressiveAgreementforTrans-PacificPartnership，CPTPP）《跨太平洋伙伴關系協(xié)定》（Trans-PacificPartnershipAgreement，TPP），TPP成20183CPTPP。2021916CPTPP保CPTPP的書面部分。CPTPP由全面與進步跨太平洋伙伴關系協(xié)定、序言、30個章節(jié)及附件全面CPTPP加入程序的決定》組成，其中關于數據跨境的規(guī)定集中于第十四章電子商務一章。與RCEP相同，CPTPP也采取了“原則+例外”的自由流動，但在數據流通的自由度上有所差異，具體分析如下：建立促進不同個人信息保護體制間的兼容性的機制CPTPP在個人信息保護方面的規(guī)定與RCEP相似，但較RCEP更進一步的是，考慮到締約方可能采取不同法律方式保護個人信息，CPTPP提出每一締約方應鼓勵建立促進這些不同體制之間兼容性的機制。這些機制可包括對監(jiān)管結果的承認，無論是自主給予還是通過共同安排，或通過更廣泛的國際框架。為此，締約方應努力就其管轄范圍內適用的此類機制交流信息，并探索擴大此類安排或其他適當安排的途徑以促進各機制之間的兼容性。促進各締約國間的數據自由流通CPTPP通過不對締約方間的電子傳輸征收關稅，數字產品的非歧視待遇，更為自由的數據跨境自由流通規(guī)則上兩者也存在差異，RCEP的關稅規(guī)定屬于“臨時性”規(guī)定，而CPTPP的要求則較為嚴格,不僅“永久性”免征電子傳輸關稅,還明確要求涵蓋電子傳輸的內容,CPTPP“共政策目標”的必要措施，CPTPP限制之外規(guī)定了不對信息傳輸施加超出實現目標所需限度的限制。CPTPP并未將“保護基本安全利益”作為例外情況進行規(guī)定?！稊底纸洕锇殛P系協(xié)定》（ECONOMY2020612日在線1228RCEPCPTPP是全球第一個但在一定程度上為全球數字經濟制度提供了模板。中國目前正積極推動加入20211日向保存方新西蘭提交了加入申請。2022年8月18日,根據聯(lián)合委員會的決定,中國加入工作組正式成立,將全面推進中國加入2022125425進行了兩次首席談判代表會議，并于2023328日舉行第一次技術磋商。深度借鑒了CPTPP中的數字貿易條款并對其進行細化歸類,將文本非常全個人信息保護DEPA第4.2條用了十個條款對個人信息進行了規(guī)定，除與RCEP、CPTPP相同的地方外，主要在以下幾點做出了不同的規(guī)定：首先是對個人信息保護法律框架應包含的原則做出了規(guī)定。主要包含了八大原則，分別是收集限制、數據質量、用途說明、使用限制、安全保障、透明度、個人參與及責任。其次是不對電子商務用戶違反個人信息保護規(guī)定的行為采取歧視性做法。再次，在促進不同個人信息保護體制的兼容和交互方面，相較CPTPP，規(guī)保護給予適當承認，或建立締約方之間個人信息轉移的其他途徑。護標準和最佳做法，并推動各締約國間對他國數據可信任標志的承認。CPTPP相似的例外限制在通過電子方式跨境傳輸信息、數據本地化要求方面，DEPA第4.3條和第4.4CPTPP推動數據開放，實現數據驅動開放鼓勵各締約方間及推動使用和開發(fā)通過可在線獲得的以標準化公共許可證為形式的開放數據許可模式。CPTPP規(guī)則”的當下，探索并推廣中國模式，發(fā)出中國聲音的絕佳機會。第三章數據跨境域外法律環(huán)境分析評估辦法》等規(guī)章的規(guī)定的義務。推動數字經濟發(fā)展，打造亞太地區(qū)數據中心設立首選地20226區(qū)數據中心的機遇謀求自身發(fā)展，20232023629港澳大灣區(qū)數據跨境安全有序流動。香港數據保護及數據跨境的要點簡析亞洲最早全面保障個人資料的法域之一私隱保護的相關規(guī)定內容概述如下：《香港人權法案條例》1991383（2017。）破壞。（二）對于此種侵擾或破壞，人人有受法律保護之權利?！薄断愀厶貏e行政區(qū)基本法》1997?！啊?。和通訊秘密?！薄秱€人資料（私隱）條例》（以下簡稱“《私隱條例》”）1995486（199720222022101）126隱條例》適用于包括政府在內的公營機構和私營機構。個人資料私隱專員55（8條例》條文做出監(jiān)察及監(jiān)管等。推行港股實名制：投資者識別碼制度2022年12月12日，香港證券及期貨事務監(jiān)察委員會（以下簡稱“香港證監(jiān)會”）202332020233312023320（以（規(guī)則3333障個人資料跨境轉移并為企業(yè)提供最佳行事方式的建議，公署于20141229（2014201433“是（i）將個人資料由香港轉移至境外，及（ii）在兩個其他司法區(qū)之間轉移（在傳輸中資料沒有被查閱或儲存3320225（（1.1），該等《指引》和《范本》均非強制性規(guī)范，屬于自愿遵守性質。香港與中國大陸個人信息保護法規(guī)之對比情況兩地保護思路較為一致6（性。保護強度存在一定差異1005對企業(yè)具有明顯的震懾力。個人信息跨境轉移的管理規(guī)則不同（或其他合法依據33兩地的數據跨境主要有賴于數據跨境流動雙方的安全保障能力能力和個人信息權益保障的響應。完整的個人資料保護規(guī)范，但不完善的跨境規(guī)則稱為“個人資料”（DadosPessoais,英語PersonalData）20058/2005（201913/20192023983/20072007的執(zhí)法機構——個人資料保護辦公室（GabineteparaaProtecc?ode79379的制定早中國大陸《個人信息保護法》（以下檢車“《個保法》”）16201920239澳門數據保護及數據跨境的要點解析《個人資料保護法》關于個人信息保護的要點6）接收方需達到同等保護水平澳門對個人信息跨境的一般要求，主要規(guī)定于澳門《個資法》第19條、第20條及第23條。/“”“”。的利益由負責實體和第三人之間所訂立或將要訂立；3）利益，或是在司法訴訟中宣告、行使或維護權利所必需或法律所要求；4）是保護資料當事人的重大利益所必需；5）注意敏感個人信息保護，避免行政處罰,2.1）:在處理敏感資料方面，兩部法律有較明顯的區(qū)別。在《個保法》中，“”——臺灣地區(qū)個人資料保護及跨境流通監(jiān)管的法律環(huán)境逐步完善的個人資料保護立法209019901991919958199662012，2012101CBPRs，促進數據跨境流通為了促進數據跨境流通，我國臺灣地區(qū)于2018年12月加入了亞太經濟合作（Asia-PacificEconomicCooperation,以下簡稱“APEC”）框架下的跨境信息傳輸區(qū)域安排跨境隱私規(guī)則體制CossordrPivyRulsSstm,以下簡稱CBPRs并遵循“APEC隱私框架”CBPRs，經CBPRs“”CBPRs202163日。以臨床試驗及海關檢驗為代表的數據互通探索20116262014“”8ICH201642542015“”“2023年960“我國臺灣地區(qū)數據保護及數據跨境的要點簡析《個資法》的適用主體及適用范圍（人或實體。對數據跨境傳輸采取“原則允許，例外禁止”的立法思路我國臺灣地區(qū)在立法上對于數據傳輸采取“原則允許，例外禁止”的態(tài)度。在21條規(guī)定，有以下情形之一的，監(jiān)管機關可以對其進行限制：（1）“涉及國家重大利益國際條約或協(xié)定有特別規(guī)定接受國對個人資料的（地區(qū)）傳輸個人資料以規(guī)避《個資法》的情形”。因此，依據《個資法》規(guī)定，在20218月進一步制定了實行個人資料保護的合作規(guī)范指引，規(guī)定各應定期認真研究是否有必要制定針對受其監(jiān)督的特定行業(yè)部門的新的數據保護數據泄露對數據主體的潛在影響及跨境數據傳輸的頻率等因素。數據跨境傳輸的監(jiān)管部門2018774201872520235月，臺灣地區(qū)立法院通過了《個資法》的修正草案，補充了《個11我國臺灣地區(qū)《個人資料保護法》與大陸《個人信息保護法》的銜接與差異GDPR相關思路和經規(guī)定“公務員假借職務上之權力、機會或方法，犯本章之罪者，加重其刑至二分之一”法》等多部門法進行規(guī)制，沒在《個保法》中進行詳細的統(tǒng)一規(guī)定。東盟東南亞國家聯(lián)盟（AssociationofSoutheastAsianNations，簡稱“東盟”）成立1967202310賓、文萊、馬來西亞、越南、老撾、柬埔寨和緬甸10國。東帝汶是東盟候選成員國，巴布亞新幾內亞是東盟觀察員國。個國家和國際組織建立了對話伙伴關系。在經貿合作方面，東202211202362日，RCEP對東盟十國和中國、日本、韓國、澳大利亞、新西蘭15個成員全面生效，全球最大經濟規(guī)模的自由貿易區(qū)進入全面實施新階段。東盟目前是亞洲第三大經濟體，世界第五大經濟體，也是中國第一大貿易合作伙伴。因此，促進數據跨境流動對中國和東盟的雙邊貿易有及其重要的意義。出臺系列指導性政策文件，統(tǒng)籌數字經濟發(fā)展與數據保護201620182019112021《東盟個人數據保護框架》促各成員國國內數據保護政策一致化7《東盟數據管理框架》和《東盟跨境數據流動示范合同條款》為企業(yè)提供數據管理和跨境數據流通的指引62023年5月，東盟和歐盟聯(lián)合發(fā)布了《東盟跨境數據流動示范合同條款（MCCs）（SCCs）（“”）MCCsSCCs何更便利的履行MCCs和SCCsConduct）、具有約束力的企業(yè)規(guī)則（BCR）ISOAPEC（PRP）尋求加強監(jiān)管與數據開放流動直接平衡的監(jiān)管體系新加坡數據保護監(jiān)管框架概覽及數據跨境的要點解析新加坡數據保護監(jiān)管框架概覽201210DataProtectionAct，2021121加坡對20211231DataProtection規(guī)定的實施細則，進一步細化個人數據保護的合規(guī)要求。新加坡在2013年設立個人數據保護委員會（DataProtectionCommission”）PDPCMedia，負責制定合規(guī)指引、監(jiān)督PDPA履行。當前已頒布《關于onKeyConceptsinthe特定合規(guī)話題的咨詢指南》（AdvisoryontheDataProtectionActforSelectedontheDoNotCallProvisions）等。另外，對于特定專業(yè)領域的數據流動，PDPC在監(jiān)督賦予PDPC反b.象銷毀違反A100在違反4802年監(jiān)禁如5,00050,00012個月監(jiān)禁以及最高5,000新加坡元的罰款。數據跨境流通：不限制數據入境，但對數據出境要求“同等保護”（PDPR9-1026條等條款規(guī)定除非根據方對傳輸的個人數據提供至少與“”“”收方傳導持續(xù)傳輸及集團內部傳輸場景常見跨境傳輸方式從實踐及（BindingRules，“BCRs”）1）/2）（3）（（PDPR條及。ASEAN。如傳輸方通過簽訂BCRs履行上述義務，除要求接收方提供與PDPA相當水平的保護外，須注意下述事項：RA。CRsBCRsBCRs（PDPR。C在As“”第（PDPR積極參與區(qū)域合作機制建設和尋求區(qū)域內數據自由流動2018EconomicCooperation，APEC）主導的亞太經合組織跨境隱私規(guī)則體系（PrivacyRulesSystem“CBPRs”）（PrivacyRecognitionforCBPRs通過CBPRs認證的企業(yè)需要通過CBPRsDataProtection因此建立了一項與CBPRsCBPRs收方為數據中介方（Data）1時，接收方應取得APECPrivacyRecognitionforAPECCrossBorderPrivacyRules）APECCBPR12。1根據及Guidelines2對此，數據出傳輸方可以登錄APEC網站（）查詢數據接收方是否已通過認證。新加坡與中國個人信息保護之比較越南越南數據保護法律體系概況數據保護相關法律法規(guī)202371主要監(jiān)管部門特殊主體的克減義務《個人數據保護法令》明確規(guī)定，微型、小型、中型和初創(chuàng)企業(yè)在建立企業(yè)時，有權選擇在注冊的前兩年內免于遵守相關要求。越南數據保護和數據跨境的要點簡析數據跨境傳輸機制根據越南《個人數據保護法令》，“個人數據跨境傳輸”是指通過網絡空間、60數據本地化及存儲要求”20221012412越南與中國數據保護法律之對比/。沙特阿拉伯數據保護法律框架概述SaudiArabiaDataProtectionLaw20219202332023914PDPLPDPLPDPL202397了20233PDPLPDPL沙特《個人數據保護法》要點簡析同意PDPL根據PDPL5“”。此外，如果存在多個個人數據處理活動，且分別具有不同的目的，則必須針對每個目的單獨獲得同意。隱私政策PDPL目的限制原則和最小必要原則影響評估控制者必須對處理個人數據的影響進行評估，如果預期目的不再需要某類個人數據，則數據控制者必須停止收集該類數據。違規(guī)通知當發(fā)生數據泄露、未經授權訪問個人數據等情況時，數據處理者必須通知監(jiān)管機構；對個人數據主體造成損害的事件必須通知數據主體。PDPLPDPL29PDPL配套的個人數據跨境傳輸法規(guī)的允許的目的進行的數據轉對于上述條件，PDPL及其執(zhí)行條例的草案也設置了具體的豁免情形：293030沙特數據保護與中國的對比求比GDPR。PDPL/PDPL違反《個保法》和沙特王國的PDPL/100（25/30080SDAIA能夠施加最高500萬里亞爾（約130萬美元）的罰款。PDPL日本日本數據跨境流通戰(zhàn)略舉措措，不斷推進跨境數據流通治理，倡導參與全球數據跨境流動合作。2020“”71基礎的個人數據跨境傳輸充分性框架，實現了日歐之間個人數據的雙邊自由傳202210在多邊貿易協(xié)定方面，日本參與或加入《亞太經合組織跨境隱私規(guī)則體系（CBPR）》《全面與進步跨太平洋伙伴關系協(xié)定（CPTPP）》、《區(qū)域全面經濟伙伴關系協(xié)定（RCEP）境數據流通規(guī)則的多邊合作。以CPTPP2017年美國退出TPP替美國開啟了CPTPPTPP“20191DFFT525屆國際交流會議演講中指出，將在G20峰會上啟動名為“大阪軌道”的國G20”DFFT2021年至DFFT20214月，在英國舉行的G7G7DFFT8G20DFFT20225舉行的G7DFFT8西亞舉行的G20DFFT3G7G7DFFTDFFT日本數據跨境流通法律規(guī)制要點簡析日本數據跨境流通法律規(guī)制主要包括個人信息出境法律法規(guī)體系和多邊貿20031表1日本個人信息保護法律法規(guī)體系項目法規(guī)名稱基本法《日本個人信息保護法》實施法規(guī)及細則《日本個人信息保護法施行令》《日本個人信息保護法施行規(guī)則》實務指南《日本個人信息保護法指南》（其中，“外國第三方提供篇”規(guī)定了個人數據出境要求）篇”規(guī)定了個人數據出境要求）義務，事先向個人信息主體提供數據接收方所在國家或地區(qū)的個人信息保護的度、數據接收方采取的個人信息保護措施以及應供個人信息主體參考的其他信向已經建立了符合日本法規(guī)定的保護標準的個人信息保護機制的接收方跨境傳GDPR根據GDPR織的隱私準則和APEC（CBPR）CBPR、CPTPP、RCEP等雙多邊規(guī)則體系和CBPRCBPRCBPRAPECRC。接受方獲得CBPRCPTPP關于數據跨境流動規(guī)則要求。CPTPP規(guī)定締約方不得對數據跨境流“”RCEPRCEP“”“”兩種與我國數據跨境法律法規(guī)對比分析”“、“個人數據保護委員會有權對在日本處理個人數據的外國經營者行使處罰的權限，包括收集報告和現場檢查”三個條件。中國對個人數據和公共數據的跨境均提出數據保護要求，對于關鍵信息基礎設施運營者，數據跨境轉移需要滿足“應1998（JIPDE）“保護認證，如CCRC是APP印度經歷多次曲折，終接近出臺數據保護專門立法142018720182019201920217881122019202220222023892023（DPDP）2018201920212023。2023為廣泛的個人數據保護，替換為了更為明確、具體的“數字個人數據”（digitalpersonal20232022“”（profiling）這一印度數據保護及數據跨境的要點解析“”一般而言，亞太地區(qū)的數據保護立法皆采用了“視為同意”（deemedtohavegivenher2022“”“”23”neus）2022“2023“必要因素評估”轉為“通知限制”方式法案名稱具體內容2018年《個人數據保護法案草案》2019年《個人數據保護法案》20182021年議會聯(lián)合委員會的建議補充說明，未經中央政府事先批準，敏感個人數據不會與外國機構或政府共享2023年《數字個人數據保護法案》/目前由于《2023年法案》極有可能成為印度個人數據保護的正式立法，因此2023202320232023""2007（thePaymentandSettlementSystemsAct，2007）201846日發(fā)布的關于支付2020（theConsolidatedForeignDirectInvestment一是廣播公司不得將用戶數據庫轉移到印度法律管轄范圍以外的任何實體或地2014[theCompanies（Accounts）Rules]（IT法下的權利，個人必須向印（AdjudicatingDisputesSettlementandAppellate在現行立法下，印度的數據保護機構是電子和信息技術部（MinistryofElectronicsandInformation2023（i）（ii）（iii）訴將由與中國法律的對比2023適用范圍方面，印度法案適用于“數字個人數據”，相比中國“個人信息”的范圍更為狹窄2023personal在主體名稱方面，印度法案使用了“數據持有者”和“數據受托人”概念，中國《個保法》則使用了“個人信息處理者”和“受托人”的表述2023護義務的人”，英文翻譯為Data20232023處理個人數據的合法性基礎方面，印度法案采取“合法目的+or特定合法使用”更為廣泛20232023在向境外傳輸個人信息方面，印度《2023年法案》調整成了“不限制向境外傳輸個人數據””20222023俄羅斯聯(lián)邦個人信息及數據法律環(huán)境分析俄羅斯聯(lián)邦數據與信息安全法律體系（以下簡稱《網絡與數據報告》），俄羅斯關于網絡主權與數據保護的規(guī)范性文“”“”“”50部強本地化的規(guī)定俄羅斯聯(lián)邦數據跨境保護及審查要點分析信息安全要點俄羅斯聯(lián)邦法律對信息安全的要求主要有以下幾點：被禁網站的登記冊。俄羅斯聯(lián)邦通信、信息技術和大眾傳媒監(jiān)督局（Роскомнадзор）可以禁止在俄羅斯聯(lián)邦境內傳播非法信息的網站。個人數據保護要點《個人數據保護法》是俄羅斯聯(lián)邦關于“個人數據”保護的主要法律。該法律規(guī)范了個人數據的處理活動，對個人數據的保護主要有以下幾點：公司數據保護要點數據跨境監(jiān)管要點如果個人數據不是從數據主體處直接取得，接收人（處理人）應在開始處理個人數據前向個人數據主體履行告知義務，但以下情況除外：處理人已對數據主體進行告知;個人數據是由處理人履行法定義務或數據主體作為一方當事人的合同而取得;該等個人數據是由該數據主體自行公開或由處;“”26“中俄數據保護及數據跨境合規(guī)對比“””歐盟棱鏡事件推動的數據跨境流動立法密集時代2013年美國棱鏡事件加速了歐盟對數字經濟時代數據跨境流動規(guī)則的重新200020152016——“”（EUUSPrivacy“20162016/6792020716FacebookMaximillianSchrems,2021642021627日生效。同時，歐洲數據保護委員會于2021年618202232520207月SchremsII20221072023710日，歐盟委員會通過了歐盟-美國數據隱私框架（EU-USDataPrivacyFramework,DPF（詳8.1）歐盟數據保護及數據跨境的要點簡析歐盟GDPR將個人數據作為基本人權進行保護，其規(guī)定覆蓋了包括公私部20004%GDPR及其對違反GDPR8.3）,GDPREDPBGDPR正式生效的同時，歐盟數據保護委員會（EDPB）也正式成立，總部GDPR）EDPB與歐盟同等保護水平下才被允許的個人數據跨境傳輸家只有在提供與歐盟同等水平保護的情況下，才允許個人數據跨境向其進行傳,和地區(qū)至少每四年進行一次評估，以確保其滿足同等保護水平要求。（BindingCorporateRules，BCR）100BCR高等弊端。標準合同條款（StandardContractualClause，SCC）是數據傳輸雙方采用歐盟標準合同條款，通過將GDPR20216準合同文本。SCC為數據跨境流動提供了一個相對寬松且安全的解決方案，有助于促進數據跨境流動規(guī)則的融合與統(tǒng)一。（CodesofConductGDPR傳輸。目前歐盟委員會還未批準任何CoC。如果歐盟以外國家未達到歐盟數據保護水平，且仍未提供適當的保障措施GDPR的借鑒與發(fā)展截止目前，歐盟委員會認定的充分數據保護的國家包括：安道爾、阿根廷、（參與DPF1010Europrivacy（EuropeanDataProtectionSeal）。Europrivacy認證成為目前所有歐盟成員國唯一正式認可的GDPRGDPRGDPRGDPR2023232023220236110個工作日內向所在地省級網信部門備案，提交標準合同（SchremsII然而，和歐盟歷史悠久且在GDPR實施后通過大量實踐案例而不斷豐富發(fā)展“”美國美國個人信息及數據法律環(huán)境分析由聯(lián)邦立法、州立法及行業(yè)自律組成的“拼湊”特色在美國立法體系中，數據保護框架包括數據隱私和數據安全，前者涉及個人信息的收集、使用和傳播，后者涉及未經授權訪問和使用個人信息。護的相關法律條文。ofof3。從州立法來看，各州均在積極進行數據保護領域立法。其中，20186月2811日正式生效。2020113日，加州選民投票通過第24號提（CaliforniaPrivacyRightsAct,因此CPRA亦被稱為2.0,202311日（GeneralDataProtectionRegulation,實上的數據保護全球標準。從行業(yè)自律準則來看，美國數字隱私行業(yè)自律準則的興起與20世紀末美“”信息優(yōu)勢。FTC、CFPB、FCC、HHS等組成的聯(lián)邦數據保護執(zhí)法機構目前，美國有多個聯(lián)邦機構負責數據保護執(zhí)法工作，包括聯(lián)邦貿易委員會（FederalTradeCommission,FTC）、消費者金融保護局（ConsumerFinancialProtectionBureau,CFPB）、美國貨幣監(jiān)理署（OffceoftheComptrolleroftheCurrency（SecuritiesandExchangeCommission、（FederalCommunicationsCommission,（DepartmentofHealthandHumanServices,HHS）和商務部等。FTC“不公平和欺騙性貿易行為”時亦有權對兒童在線隱私和商業(yè)電子郵件營銷等問題執(zhí)法。近年來，FCC亦發(fā)揮了突出的執(zhí)法作用。FTC和FCC外的其他機構則是根據具體的法規(guī)或條例，負責相關的隱私雷姆一里奇一比利雷法》（GLBA）負責金融隱私的執(zhí)法。美國數據保護及數據跨境的要點解析和CPRA為代表的“美國標準”具影響力的數據隱私立法，即最具代表性的“美國標準CPRA,并結合和CPRA比對分析（9.1）。除已生效的和CPRA63議院和參議院商務委員會主要成員聯(lián)合發(fā)布《美國數據隱私和保護法案》（AmericanDataPrivacyandProtectionAct,ADPPA）（詳見附件9.2）草案文本，,法規(guī)下針對安全違規(guī)行為的私人訴訟權。允許境外數據流入、限制境內數據流出由于美國對于數據的態(tài)度是希望通過數據跨境活動維護自身的技術經濟優(yōu)“”——數據向外流動，而允許數據自由向內流動。最具代表性的“美國標準和CPRA均為州立法，故不涉及數據跨境（ClarifyingLawfulOverseasUseofDataAct，CLOUD管理條例》（ExportAdministrationRegulations，EAR）和《2023年保護美國人的數據免受外國監(jiān)視法》（ProtectingAmericans'DataFromForeignSurveillanceActof2023,PADFFSA）。目前，CLOUDActEAR尚未生效。CLOUDAct2018323日生效，最核心的內容是加強美國的長臂管CLOUDAct同時，其他國家若要調取存儲在美國的數據，則必須通過美國“適格外國政府”的審查，需滿足美國設定的人權、法治、數據自由流動標準。采取相應的限制，嚴格限制關鍵技術與特定領域的數據出口。EAR嚴格限制部務器保存或處理，需取得美國商務部產業(yè)與安全局（BIS）201013556號行政令界定的“重要數據”范圍，包括農業(yè)、受控技術法案信息、統(tǒng)計、稅收等17個門類。但仍須引起中國企業(yè)注意。根據項下的相應管制。美國與中國數據保護法律之對比中美跨境數據流通存在政策限制（以下簡稱以中國《個保法》為例對比美國數據保護立法和CPRA是統(tǒng)一的綜合性數據保護法，存在諸多不同之處，例如：（1）中國《個保法》相較于美國,（2C/CR,9.1）。雖然美國尚無聯(lián)邦層面的數據保護立法，但是，針9.2）。中美數據保護立法取向不同美國與中國數據保護法律規(guī)定的不同亦體現兩國對于數據保護的不同立法GDPR與美國之間，在重視“同意”息主體同意（opt-in）的模式，要求個人數據處理活動應具有合法基礎，而美國選擇退出模式（opt-out）為主要機制，僅要求特定的數據處理活動擇退出。位讀者了解到不同國家和地區(qū)在數據保護及數據跨境法律環(huán)境方面是存在很大家和地區(qū)關于數據保護和數據跨境的理念、規(guī)范乃至數據的基本定義有很大差區(qū)對數據保護的要求。第四章跨境數據流通技術解決與合規(guī)方案積極作用，還需要新技術在新場景應用上找解決方案。案例背景該公司在境內境外兩地均維護著CRM業(yè)務挑戰(zhàn)法享受會員應有的會員權益會引起客戶不滿情緒。務活力，并為供應鏈、生產、銷售等環(huán)節(jié)增加了不確定性。應用場景與需求從而促使經營分析更加全面可靠，支撐業(yè)務發(fā)展。技術方案考慮到問題緊迫性、技術建設的時間周期、業(yè)務改造的難度、合規(guī)要求等，本跨境解決方案流程示意圖如4.1-1所示，具體分為如下兩個步驟：短期補救方案實施：通過簡單而高效的方法解決兩地會員體系信息不化的服務。長期完善方案規(guī)劃：通過系統(tǒng)搭建和業(yè)務同步等措施，目標是使境內優(yōu)化業(yè)務布局與決策。圖1跨境流程示意圖方案創(chuàng)新點和亮點深度溝通與合作，探索數據傳輸最小必要可能性。基于消費后產生的數據字段也剔除了個人屬性而使用會員編號替代。應用效果完整的數據分析結果，以支持業(yè)務決策。CA在CA等法律法規(guī)簽發(fā)的數字證書簽署的文件，在中國大陸和香港具有法律效力。案例背景CA和香港均合規(guī)的銀行跨境電子簽署方案。技術方案方案思路CAAPPSDK、嵌入客戶方web/繁體中文/方案實現流程CAPKI/PMI（PKI：公鑰基礎設施；PMI：授權管理基礎設施CACACASDKCA的2所示：圖2方案創(chuàng)新點和亮點本項目將大陸居民身份核驗SDK及香港居民身份核驗SDKAPPAPPH5CA簽署集成到銀行的網頁端，產品體量輕，實施效率高，客戶體驗感好。應用效果脫了該行只有一家供應商的局面。在電子簽署方面，首次采用基于數字證書+作提供了范本。圖3跨境電子簽署服務平臺網絡傳輸路徑圖M2&SKCHBMIPM2需要更專業(yè)的境SKC幫助其進行設計調優(yōu)和制造測試。因此，兩家公司需要使ITUCloud安全屋數據沙箱托管數據，并提供隱私計算、算力、存儲、網絡和安全服務。案例背景業(yè)務挑戰(zhàn)EDA層。POC測試過程導致前期推進同談判過程亦受技術側進度和國內外數據安全政策變化影響。最后，跨境合規(guī)要求及隱私計算性需要能跟上用戶交付時效性要求。技術挑戰(zhàn)束使用方行為。3T序應用打開，相當于流通的加密數據包，EDA算法嵌入對于安全檢測有非常規(guī)MPC產品難以實現。MPC數據安全風險。技術方案UCloudMPC服務價值，在關鍵數據層完成價值保護及防竊取工作。UCloud安全屋采用私有化集群部署，物理上是分布式部署，邏輯上是去中心化協(xié)作。M2SK2作為乙ITUCloud4所示。M2SK2作為乙ITUCloud5所示。圖4圖5UCloud安全屋業(yè)務流程圖方案創(chuàng)新亮點在技術升級上，超長前置調試MPC嵌入芯片EDA編譯，直接對原算法進?拆分編譯，使數據加密本身對業(yè)務影響降到最低，使用方無感應用。在技術創(chuàng)新上，對原有算法進行最小程度拆分，?SMPC隱私計算，疊加??耗，保證業(yè)務流暢及項?成果交付時效性。應用成效PDK文件，用于其PDK文件。甲方商業(yè)側對于目前的成果進展設計驗證能力。程經驗值。2022年11月15日，深圳數據交易所（以下簡稱：深數所），與數庫（上海）科技有限公司（以下簡稱：數庫科技）實現了國內首單場內跨境數據交易，為探索跨境數據流通交易邁出了堅實的第一步，也為推進跨境數據交易制度和規(guī)則銜接提供了實踐經驗。這不僅意味著數庫科技的整體實力再次受到權威認可，更標志著數據跨境時代的正式起航。同時，該筆交易也經過了第三方律所合規(guī)評估及深數所的交易風險評估及見證。案例背景2022212日，《深圳市探索開展數據交易工作方案》正式通過深圳市2022年底初步形成新型5100商。電商、互聯(lián)網、醫(yī)療行業(yè)。整體方案數據產品介紹生產。NLP算法將市場中的高頻非結構化新聞資訊轉化為機器可讀的結構化元數據。這一產品主要通過自然語言處理算法對國內主流網站的財經及行業(yè)新聞資訊進行提取加工，形成標簽化數據，在剔除個人信息、新聞標題及新聞內容后，向境外客戶提供。6所示。圖6數庫數據出境目的與方式管理機構的量化分析、優(yōu)化二級市場的策略決策提供支持等。SFTP收方的轉售或對外提供限制、數據安全保護及責任承擔進行了約定。數據出境涉流程數庫科技數據交付過程包含數據文件生產、數據文件授權、數據文件推送、數據文件入庫的環(huán)節(jié)。如圖7所示：圖7NASraidSSE-KMSAES-256進行數據加密來保障數據存儲的安全性。在數據傳輸安全方面，針對數據傳輸過程可能面臨的被中斷、截獲、篡改、偽造等風險，數庫科技采取以下措施控制風險：IP白名單策略進行身份驗證，有效拒絕非授權的訪問請求。SSL、HTTPSSSH等網絡加密協(xié)議，保障數據傳輸通道的保密性，避免數據被截獲。SHA256Hash校驗算法，保障數據傳輸的完整性。RSA2048的非對稱加密算法，及私鑰加簽、公鑰驗簽的數宇簽名方式，保障數據傳輸不被篡改、偽造。數據出境法律法規(guī)要求數據產品創(chuàng)新點和亮點ID。因此，在提取標簽的同時，實體鏈接通過知識圖譜進行進一步的圖計算。各種金融應用和計算提供了數據支撐。應用成效量化投資應用A股全市場的新聞情緒，例如，A股個股情緒因子、AA股市場情緒指數等，為相關量Alpha挖掘機會。榮譽獎項10強”。（Linklogis）身在供應鏈科技方面的領先優(yōu)勢，與國際清算銀行創(chuàng)新中心啟動數字貿易資產（DigitalTrade向機構投資者尋求融資。案例背景行業(yè)現狀90%50%業(yè)務挑戰(zhàn)（Open付產品的一級供應商又根據OA或信用證（LetterofCredit,LC）條款將某些基本運作模式。但由于于缺乏抵押品和/或已建立的信用和運營記錄，且保理和險陡增。技術方案解決方案思路A（unalisd（onimd、狀態(tài)轉移的條件編碼到智能合約上，當供應鏈上貿易流程的某一環(huán)節(jié)被確的附加條件均，獲得等值的法定貨幣。通過區(qū)行與資產的安全轉讓。平臺功能架構8在供應鏈上貿易結算中的應用：圖8傳統(tǒng)供應鏈中核心買家與一級供應商簽訂采購訂單，然后從發(fā)行方處獲得（與合同金額等額的）基于時間的條件：僅在特定日期向接收者付款?；谛袆拥臈l件：只有當核心買家表示接受付款時，才會向的接收者付款。向ESG級別時，才會向供應商支付獎金。9如何應用在發(fā)行、轉讓、融資和兌現等場景中。圖9多級供應鏈中供應鏈上持有DTA的供應商可以通過兌現、轉讓或融資等方式來獲取營運支持：（3a/4a/5a）；上游供應商的全部或部分債務或應付款項（3b/4b/5b）；平臺與投資方（機構投資方）利用發(fā)行方的信用風險的（發(fā)行方的）（3c/4c/5c）。方案創(chuàng)新點和亮點流程創(chuàng)新：更流暢地銜接供應鏈貿易與中小企業(yè)融資的場景。也提升了投資者的投資意愿。開拓了空前豐富的融資選擇，也為投資者開辟了新的投資機會?？萍紕?chuàng)新：企業(yè)在供應鏈上的融資。應用成效以前無法獲得傳統(tǒng)融資的中小企業(yè)提供新的融資途徑，從而有助于刺激經濟增應鏈更具彈性，可以促進其建立更穩(wěn)健、更綠色、更具社會責任感的供應鏈。CA電子簽署服務。且本項目在大陸和香港兩地電子簽名互認的司法框架下合法開CA法律法規(guī)簽發(fā)的數字證書簽署的文件，在中國大陸和香港具有法律效力。案例背景隨著各行各業(yè)信息化的迅猛發(fā)展，傳統(tǒng)的商業(yè)模式逐漸轉變成互聯(lián)網的方CA驗服務、數字證書服務和可靠電子簽署服務。技術方案方案思路港股開戶電子認證服務平臺是深圳CAPKI/CA保障，實現大陸居民無需現場面簽，即可遠程完成港股賬戶開立全流程。方案流程實現CAPKI/PMICACAAPPCASDK/H5組件CA10所示：圖10深圳CA港股開戶電子認證服務平臺總體架構圖方案創(chuàng)新點和亮點SDK/H5APPAPP產品體量輕，實施效率高，客戶體驗感好。應用效果CA已經與超過400萬客戶提供港股開戶在線電子認證及可靠騙保行為的監(jiān)管等。案例背景違反誠信原則，存在騙保行為，監(jiān)管難度大。表2醫(yī)保可能存在的賠付群體情況和傳統(tǒng)理賠步驟技術方案方案思路保險消費者確率和效率，同時降低了管理成本和風險。功能結構服務。理和實時監(jiān)測。用，保護參保人的隱私權，并進一步提升了整個平臺的規(guī)范性和高效性。平臺架構平臺的總體框架分為“五層二體系”，如圖11所示：入這些接口來連接不同的系統(tǒng)，實現數據的共享和交互。有業(yè)務處理和數據處理。上層的應用程序提供了各種支撐服務，用于處理特定的業(yè)務需求。所需的各種數據資源。礎運算資源和網絡支持。商保理賠數據標準體系和數據安全保障體系可以提高商保理賠效率和準確性，保護保險公司信息安全和客戶隱私。圖業(yè)務流程HIS12所示。圖12技術架構圖13方案創(chuàng)新點和亮點API安全監(jiān)測與訪問控制的安全威脅，保證數據的安全與穩(wěn)定傳輸。應用效果（保險消費者保障部門都有明顯的好處。（保險消費者高醫(yī)療資源的合理配置。中誠信征信有限公司（簡稱“中誠信征信”）的海外用戶信用風險評估報告。案例背景在國際貿易中，合作客戶及供應鏈合作伙伴信用風險是一個重要的考慮因5%；信用交易訂單的處理時型貿易公司前期希望通過一系列海外報告來監(jiān)控和管理其海外客戶及供應鏈之技術方案在該案例中海外用戶信用風險評估報告,是中誠信征信通過收集和整合來自20年在企業(yè)信用風險評估領域積累沉淀的風險評估維度和指標，最終生成滿足客戶需求的各種類型的海外信用報告，生成相應的預警信號,方便用戶監(jiān)控海外客戶及供應商信用風險狀況并進行決14為用戶信用風險評估報告的處理系統(tǒng)的作業(yè)流程示意圖，實際以落地系統(tǒng)為準。圖14用戶信用風險評估報告處理系統(tǒng)作業(yè)流程示意圖技術特點CCX建模，以識別潛在的信用風險。NLP險蔓延。用戶能夠快速了解信用風險狀況，并做出相應決策。技術架構API進行數據交換和通信。工作/業(yè)務流程交易、財務狀況、工商信息、司法信息、生產經營數據等。處理。模型訓練：系統(tǒng)利用機器學習算法對數據進行訓練和建模，以識別潛在的信用風險。在的信用風險。議額度和自身需要進行相應決策。方案創(chuàng)新點和亮點程和審批流程留痕，支持科學決策。應用效果該案例中海外用戶信用風險評估報告,在該公司正式使用后取得了顯著的應用成效。圖15為報告模板示意圖，實際報告以落地為準。圖15風險篩查，提高客戶質量200%科學審批，提高效率和準確性150%100%，決策更有科學依據。動態(tài)監(jiān)測，提高風險處置效率通過對客戶信用風險的定期監(jiān)測和管理，該公司成功降低了違約風險和損失。風險可視化，提高風險感知多款的可視化圖表和風險評估數據，使決策鏈各環(huán)節(jié),能夠更好地了解海外各客戶及供應鏈合作伙伴信用風險狀況，并及時做出決策。案例背景法律層面難點重點評估以下事項：性、必要性；公共利益、個人或者組織合法權益帶來的風險；能力等能否保障出境數據的安全；取、非法利用等的風險，個人信息權益維護的渠道是否通暢等；等（以下統(tǒng)稱法律文件）是否充分約定了數據安全保護責任義務；其他可能影響數據出境安全的事項；告涉及專業(yè)方向多而廣，數據出境自評估難度較大。業(yè)務層面難點據跨境服務機構協(xié)醫(yī)療機構開展數據跨境合規(guī)建設。合規(guī)方案數據出境安全評估具體流程第一版程如下圖所示：圖16數據出境安全評估流程自評估工作流程估信息、開展評估工作和形成評估報告。圖17自評估流程圖各階段的實施過程說明如下：安全評估的出境活動和數據類型。時間、評估人員、評估方法等。數據類型、數據量、數據用途、數據安全措施等。要的措施來保護數據安全。議。方案創(chuàng)新點和亮點面對醫(yī)療機構（數據處理者）進行深入評估并設計相關整改方案。在出境數據層面合法權益帶來的風險。在業(yè)務層面?zhèn)€人的單獨同意。在數據安全體系方面立數據安全技術保障機制，搭建數據出境風險防控體系。應用效果強化數據跨境制度保障，據分級分類目錄及重要數據目錄，提升醫(yī)療機構數據跨境安全保障能力。培育數據跨境合規(guī)理念，導、業(yè)務管理、骨干員工達成數據跨境業(yè)務合規(guī)共識。賦能健康醫(yī)療跨境合作，福于患者，為提升全人類生命健康水平作出貢獻。建設、促進數字經濟與實體經濟深度融合等。鏈科技有限公司，與兩岸企業(yè)攜手合作，運用區(qū)塊鏈、IPFS分布式存儲、去中數據協(xié)同，促進兩岸數字經濟融合發(fā)展。案例背景1和數字經濟的融合發(fā)展。高效地進行商品數據協(xié)同與應用，從而加速兩岸數字經濟的融合發(fā)展。技術方案解決方案思路IPFS時，IPFS分布式存儲基于內容的快速尋址和數據永久保存等特性，進一步增強了數據的可靠性和安全性。IPFS分布式存儲等關鍵技術，應用實現了第三方安全性和可靠性。系統(tǒng)框架與功能模塊兩岸跨境貿易商品溯源應用基于區(qū)塊鏈、IPFS分布式存儲、去中心驗證器18應用分為四層架構，從下到上依次是區(qū)塊鏈層、服務層、物理層以及應用層。P2PIPFS心化存儲、分布式身份標識、去中心驗證器等海峽鏈基礎設施。息上鏈管理、溯源查詢、溯源統(tǒng)計、溯源碼管理、產品管理等。（RFIDNFC芯片）的全生命周期管理，包括規(guī)則配置、標識生成、查詢標識、下載標識。圖18兩岸跨境貿易商品溯源應用技術架構圖應用層：是最接近用戶的層級，主要負責數據的展示和交互，為各個應APIH5IPFS19所示。圖1920是臺灣某有機茶廠的祈韻紅茶的數據采集示例：茶園物聯(lián)網設備實時PHIPFS進行NFT作為憑證，每罐21示了兩岸跨境貿易商品溯源應用案例。圖20兩岸跨境貿易商品溯源應用數據采集示例圖21兩岸跨境貿易商品溯源應用案例方案創(chuàng)新點和亮點兩岸跨境貿易商品溯源應用具備以下顯著特點和創(chuàng)新：數據透明可溯源可溯源。數據安全防篡改IPFS商品唯一可信程信息被記錄上鏈，確保商品從生產到銷售每一個環(huán)節(jié)的唯一性和可信度。數字簽名確權負責的環(huán)節(jié)的上鏈數據進行簽名，確保信息的真實性，不可抵賴和可追溯。數據高效協(xié)同審核成本，提升了跨境貿易的整體效率。應用效果量的貿易商品數據協(xié)同平臺?？缇畴娚蹋嚎缇硵祿苿与娚唐髽I(yè)ESGAIESGAI模型進行分析和模擬，快速圖22方案功能展示圖案例背景行業(yè)現狀業(yè)務挑戰(zhàn)的挑戰(zhàn)。律法規(guī)。確保數據合規(guī)和本土合規(guī)是一個復雜的任務。需要確保供應鏈的可持續(xù)性和社會責任的落實。成為必須關注的問題，需要采取措施減少環(huán)境影響。應用場景與需求在不進行重構的前提下，面向后續(xù)業(yè)務變化、需要靈活調整流程和功能的場景下，客戶希望實現以下需求：可持續(xù)供應鏈管理：通過全域數據和跨境數據流通，建立透明、可追溯的供應鏈系統(tǒng)，以減少資源浪費和環(huán)境污染為目標。AIAI發(fā)生。促進可持續(xù)消費和經濟增長：消費市場融合并貢獻經濟增長。技術方案ESG供應鏈相關評分為目標，采用了統(tǒng)分結合的靈活部署方式，實現數據來源授權可獲取、數據分析過程可管理，以及數據執(zhí)行結果和傳輸可記錄的目標。數據整合與共享：數據來源的授權獲取。AIAIAI模型和AI減少產品設計侵權事件：師的合作與創(chuàng)新。供應鏈數據共享與協(xié)作：和協(xié)作能夠提高工作效率，優(yōu)化供應鏈的整體協(xié)同性。促進可持續(xù)消費和經濟增長：ESG專項評估和分析預測。方案創(chuàng)新點和亮點數據整合與實時共享時了解市場變化并做出相應的決策。提高數據及時性更快地做出決策和調整策略?？焖夙憫袌鲎兓蜎Q策的準確性。ESG可持續(xù)發(fā)展的目標和具體指標。應用效果ESG挑戰(zhàn)中，可通過跨境數據快速實現數據整合與實時高供應鏈ESGESG本案例以下輸出成果可以為行業(yè)應用提供參考：數據整合與實時共享：通過統(tǒng)一數據平臺整合全球供應鏈和業(yè)務部門ESG10%。快速響應市場變化：速地響應市場變化，能夠更及時地調整供應鏈和生產計劃，提高供應鏈效率約12%?？沙掷m(xù)發(fā)展：ESG10%。AB企業(yè)提供產品和服務，AB企業(yè)A企業(yè)在中國境內運營和收集的相關數據。A企業(yè)長期存在的數據出境活動是否合規(guī)，以及是否應當立即向網信部門申報數據出境安全評估備案需要從法律方面進行評估，以防范未履行法定義務的法律風險。案例背景應履行法律規(guī)定的義務,出境數量達到法定標準還需通過所在地省級網信部門向國家網信部門申報數據出境安全評估,在申報出境安全評估之前應先進行數2022916則應承擔相應法律責任。合規(guī)評估聚焦問題及分析思路問題1：A企業(yè)在數據出境活動中的具體法定義務有哪些？影響評估。三收方訂立網信部門制定的標準合同和相應的法律文件。公司應當采取適當的方式告知相關個人，并取得其同意。數據處理者數據安全保障能力包括數據安全管理能力、數據安全技術能力、數據安全保障措施有效性以及其他應當遵守數據和網絡安全相關法律法規(guī)的有情況等。因此，對A企業(yè)與境外接收方B企業(yè)的數據安全保障能力需要通過盡調評估和技術測評等手段進行風險排查，以及對于不合規(guī)事項應提前予以整改。申報評估備案的條件？A企業(yè)提交的材料、訪談、會議等方式調查了解，A企業(yè)不涉及公共1110處理者。結合《數據安全評估辦法》規(guī)定，A企業(yè)應當進行申報備案。問題3：A企業(yè)未申報數據出境安評估的法律責任有哪些？根據《數據出境安全評估辦法》第十八條、第二十條和《個人信息保護法》202291日）6個月內完成整改；同時，違反《數高級管理人員和個人信息保護負責人。結論A交申報書等安全評估工作需要的其他材料等。方案創(chuàng)新點和亮點施行后對企業(yè)影響的不確定性，幫助企業(yè)在合規(guī)的情形下繼續(xù)開展數據出境活動。結語建議合規(guī)意識，促進企業(yè)高質量發(fā)展。第五章數據跨境流通與技術應用發(fā)展建議（征求意見稿規(guī)范數據跨境處理活動、監(jiān)管單位審查和監(jiān)督數據跨境處理活動提供了法律依下探討并提出相關建議。為了保障數據跨境流通過程中的合法合規(guī)，同時提升數據合規(guī)出境的效率，建議可以補充以下方式輔助現有數據出境管理體系：具“安全評估風險意見”通過擬出境數據自愿預備案模式，為企業(yè)提供數據出境合規(guī)緩沖區(qū)有助于提升企業(yè)后續(xù)申報過程中材料準備的效率。行政審核流程，節(jié)約審批時間式、新方法、新手段。企業(yè)數據安全與隱私保護架構。圖23以跨境數據資產盤點與風險識別完善為首要企業(yè)可通過跨境數據資產探測探針等工具主動探測跨境應用、FTP、各種郵件服務、文庫等數據資產，梳理各類跨境數據資產的數據資產類型、跨境方式、跨境區(qū)域、跨境組織、跨境組織聯(lián)系人、跨境組織地址等相關信息，并對這些資以跨境數據安全風險監(jiān)測與預警實效為核心以跨境數據響應處置與數據留檔夯實為基礎自身業(yè)務發(fā)展情況，制定的安全風險等級和前期制定好的應急預案做通報與處和安全追溯。企業(yè)供應鏈風險控制與管理“牛鞭效應模式的實施。性。到的或數據流動過程中需要達到的最低等級要求，實現對供應商的安全要求選型，降低供應商的數據安全隱患導致的數據泄露或損失。企業(yè)通過可追溯性系統(tǒng)對供應鏈進行動態(tài)合規(guī)管理和監(jiān)督。企業(yè)應采用信息技術工具和評估系統(tǒng)，加強對供應鏈合規(guī)情況的監(jiān)控和跟現和解決潛在的違規(guī)問題，并對供應商進行及時的提醒和整改。制?！昂弦?guī)紅線企業(yè)與國際合作伙伴和第三方服務商建立長效合作機制。同推動跨境數據流通合規(guī)的國際標準制定和協(xié)作機制建立。明確合作目標和原風險評估，保障供應鏈管理的有效性。企業(yè)跨境數據流通合規(guī)能力建設義務等多方面的問題。家和地區(qū)相關法律法規(guī)。企業(yè)需在戰(zhàn)略層面重視跨境數據流通合規(guī)性，作好整體的合規(guī)性規(guī)劃，并確GDPR人才。成立跨部門協(xié)作的企業(yè)內部數據合規(guī)組織機構,共同探討數據跨境的業(yè)務場景、評估合規(guī)風險,制定合規(guī)政策和操作規(guī)